いつも参考にさせていただいております。
下記参考URLや事例から、
IBCMに必要な証明書要件を改めて確認しております。
何点か不明点があり、ご教示いただけないでしょうか。
[No.1]
参考URLの中断辺りに、配布ポイント用の証明書が必要とのことですが、
目的にはこう記載されております。
=========
・配布ポイントがステータスメッセージを送信する前に、
HTTPSに対応している管理ポイントに対して配布ポイントを認証します。
・配布ポイントオプションとして[クライアントのPXEサポートを有効にする]
が選択されていると、証明書はコンピューターに送信されます。
=========
言い換えれば、社内通信がHTTPベースである場合は、
プライマリサイトサーバーの管理ポイントはHTTPとなりますので、
IBCMでのこの証明書は必要無いのではないでしょうか。
また、[クライアントのPXEサポートを有効にする]を無効の想定です。
認識に相違あればご教示いただけないでしょうか。
[No.2]
参考URLの中断辺りに、
「管理ポイント」「状態移行ポイント」用のクライアント証明書が必要とのことですが、
様々な事例を確認する限り、IBCMには不要の認識です。
実際は必要になるのでしょうか。
[No.3]
クライアント向けPKI証明書ですが、
例えばIBCMにエージェントをインストールし、
IBCM自身もMECM管理対象になった場合には必要になるという認識で合っていますでしょうか。
(※事例では、大抵がクライアント証明書を[Domain Computers]グループでGPO配布されています。)
[No.4]
クライアント向けPKI証明書ですが、
クライアントとIBCMがHTTPS通信する為に必要になる認識です。
その際、IBCM側の対象の証明書は何になるのでしょうか。
HTTPS通信に必要なものなのか、
クライアントとサーバー間の認証に必要なものなのか、
それがどの証明書なのか利用用途の説明が上手く思い付きません。
[No.5]
拡張HTTPを利用する場合は以下の条件による認識で合っておりますでしょうか。
その場合は、各PKI証明書が不要となるということでしょうか。
・Hyblid Azure AD join構成の場合
・対象のデバイスがAzure ADにある場合
また、公式Docsにはこうも記載されておりますが、
具体例をご教示いただけないでしょうか。
========
拡張HTTPは、クライアント通信またはサイトシステムで
HTTPSを有効にすることと同じではありません。
========
<参考URL>
https://docs.microsoft.com/ja-jp/mem/configmgr/core/plan-design/network/pki-certificate-requirements
https://docs.microsoft.com/ja-jp/mem/configmgr/core/plan-design/hierarchy/enhanced-http
何卒お力添えいただきたく存じます。
以上、よろしくお願いいたします。
